主催: セーフパル
「Dark Forest」、つまり「Three-Body」から生まれたこの宇宙社会学法則は、現在の Web3 セキュリティ トラックの最も裸の要約でもあります。チェーンには想像力と革新的なゲームプレイの余地が十分にありますが、同時にそれはこれはまさに「暗い森」のようなもので、残忍な残虐行為に満ちたゼロサム ゲームであり、一般の投資家は「追われる側」として情報の非対称的な役割を担っています。
11 月 16 日、多くのコミュニティ ユーザーが、オンチェーン トランザクション ターミナル DEXX が盗まれたと報告しました。事後分析により、DEXX 秘密鍵の管理に明らかな抜け穴があり、平文で送信および保存されていたことが判明しました。これまでの損失額は 2,000 万ドル以上で不完全に計算されています。
これに関連して、一般のユーザーがチェーン上の自己保護メカニズムをどのように改善できるかが、大きな関心を集めている重要なテーマとなっています。SafePal の共同創設者兼 CEO の Veronica も、主催された 𝕏 Space イベント「DEXX インシデントによって引き起こされたセキュリティの考え」に参加しました。 137Labs 著: 暗号通貨投資の「穴」を避ける方法、BlockSec 創設者のアンディ、シニア トレーダー クラブの兄弟、137Labs 研究者の OneOne らと DEXX について語るセキュリティインシデントを調査し、仮想通貨投資家に実践的なセキュリティアドバイスを提供します。
この記事は、この Twitter スペースでのゲストの素晴らしい共有をテキストで要約したもので、読者の利益のためにここにまとめられています。
最新のボットツールの「耐えられない重さ」
暗号通貨投資では、高い収益と絶対的な安全性のバランスをとることが難しいことがよくありますが、DEXX や Unibot などのトレーディング ボット ツールは、ワンクリックのフォローアップと迅速な資金送金によってユーザーの支持を得ていますが、この利便性は、集中型アーキテクチャ。ユーザーに資金の承認やウォレットへのアクセスの提供を要求すると、資産リスクが大幅に増加します。
ユーザーは一般に、これらの取引ツールのセキュリティ要件を過小評価しており、大規模な取引所を信頼することに慣れていますが、小規模なツール プラットフォームのリスクを無視しているだけです。DEXX 事件により、一部の取引ツールの秘密鍵管理における致命的な抜け穴が明らかになりました。 -保管ウォレット」では、秘密キーが集中サーバーに依存するのではなく、ユーザーのデバイスにのみ保存されるようにする必要があります。秘密キーが暗号化されており、メモリレベルのセキュリティ保護 (TEE やエンクレーブなど) に対する技術サポートが不足している場合でも、 、それでも盗難の可能性は避けられません。
同時に、攻撃手法は複雑であり、ハッカーは資金を分散させて追跡を困難にしているため、資金の回収がより困難になるだけでなく、今後同様の事件がより複雑かつ困難になる可能性があることを示しています。技術的な脆弱性によるプラットフォームの侵害、または内部盗難または深部への侵入のいずれかです。後者の場合、リスクは将来さらに深刻になる可能性があります。
Dune のデータによると、現在の取引高トップ 5 のボットは、Trojan、BonkBot、Maestro、Banana Gun、Sol Trading Bot であり、7 日間の取引高は 1 億米ドルを超え、累計ユーザー数は次のとおりです。このように、「莫大な利益を上げるか、すべてを失うか」という心理により、ほとんどのユーザーは潜在的に巨大なリスクを無視することになります。
出典: デューン
ベロニカ氏は、こうしたボットが超高速のオンチェーン取引を実現し、毎回手動署名を回避できる理由は、そのような「フロントランニング」取引ツールのほぼすべてが同様のセキュリティリスクに直面する可能性があると考えています。特徴:
通常、ハードウェア ウォレット、APP ウォレット、ブラウザ プラグイン ウォレットのいずれを使用する場合でも、ユーザーは数秒かけて手動で署名して確認する必要があります。ただし、トランザクション速度を向上させ、ユーザー エクスペリエンスを最適化するために、これらのボットは通常、セキュリティを犠牲にして最小限に抑えます。一部の秘密キーのセキュリティを強化し、より高速なトランザクションを実現します。
この設計は完全に間違っているわけではなく、単にこれらのプロジェクトが安全ではないとも言えませんが、開発チームがスムーズなエクスペリエンスを実現できない場合、開発チームのセキュリティ保護能力に非常に高い要求が課せられます。強力なセキュリティ攻撃と防御を確保する ひとたび機能が攻撃されると、その結果は非常に深刻になり、ユーザーとプロジェクト関係者の両方が多大な損失に直面する可能性があります。
さらに、ほとんどの取引ボットの現在の設計は重大なセキュリティ リスクに直面しています。自動取引を実現するために、通常、ボットはユーザーごとに秘密キーを生成して保持しますが、この方法はユーザーが自動的に注文に従うのに便利ですが、そうではありません。また、攻撃者がプラットフォームに侵入すると、保存されているすべてのユーザーの秘密鍵が漏洩し、資産が損失する可能性があります。
画像出典:DEXX「ウォレット管理」ページ
ただし、実際には、ユーザーの秘密キーを使用せずにトランザクションを自動化できる、より安全なトランザクション アーキテクチャがあります。
このアーキテクチャはスマート コントラクトに依存しています。ユーザー アカウントに関連付けられた「PDA アカウント」を作成することで、プラットフォームは制限された「操作アカウント」を通じてトランザクション指示を実行できます。アカウントの運用は厳重に管理されており、取引操作のみが可能であり、ユーザー資産を自由に譲渡することはできません。
このスマート コントラクト主導の設計は、ユーザーの秘密キーが常にユーザー自身の手にあり、集中サーバーに保存されないため、セキュリティを大幅に向上させることができますが、この設計はより複雑であり、チームのエンジニアリング能力と高度なセキュリティ テクノロジーが必要です。 , しかし、それは完全に実行可能であり、より安全です。
現在、ほとんどのユーザーはこれら 2 つの設計モードの違いを知らないか、利便性を追求するあまりセキュリティを無視しています。しかし、セキュリティインシデントが頻繁に発生する中、ユーザーや開発チームはより安全なアーキテクチャにますます注目するようになり、将来的にはこの高度な設計ソリューションが徐々に普及し、同様の DEXX インシデントの発生が減少すると予想されます。
トランザクション認証から秘密キー保護までの Web3 セキュリティ チェーン
OneOne は、オンチェーンのセキュリティ リスクは現在、トランザクションの承認から秘密キーの保護までの側面をカバーする 2 つの主要なカテゴリに分類できると考えています。
最初の一般的な攻撃方法は「スプーフィングの承認」です。たとえば、「ダスト攻撃」を通じて少量の暗号化された資産を送信したり、NFT をエアドロップしたりして、ユーザーのクリックとトランザクションの承認を誘導します。この操作により、攻撃者はユーザーのウォレットを取得できる可能性があります。許可を与えることで、ユーザーの資産 (暗号通貨や NFT を含む) を盗むことができるため、ユーザーは不明なソースからのトークンやエアドロップを扱う際に注意する必要があります。
秘密キーは通常、いくつかの方法で盗まれます。
1 つ目は「マルウェア攻撃」です。たとえば、一部の攻撃者はユーザーを新しいプロジェクトのテストに招待するふりをして、トロイの木馬ウイルスを含む実行可能ファイルをダウンロードさせます。ユーザーの秘密キーとアカウントのパスワードは簡単に盗まれます。
2 番目のタイプは「クリップボード」で、攻撃者はフィッシング Web サイトを通じてユーザーのクリップボードのアクセス権を取得します。ユーザーが秘密キーをコピーして貼り付けると、この機密情報が攻撃者によって傍受され、使用される可能性があります。
さらに、悪意のあるリモート ソフトウェアを通じてユーザーのコンピュータを制御したり、ユーザーが休憩しているときに秘密鍵を直接盗んだりする「リモート コントロール攻撃」のケースもあります。たとえば、Lu Airdrop ユーザーがよく使用する「指紋ブラウザ」です。通常、これが侵害された場合、多くのユーザーはこれらのツールを使用するときに 2 要素認証 (2FA) を設定しないため、リスクがさらに悪化します。
最後に、「入力方法に隠れた危険性」については、多くのユーザーはスマートな入力方法を使用することを好みますが、これらの入力方法はユーザーの入力データを収集してクラウドに保存する可能性があり、これにより秘密鍵が漏洩する可能性も高まります。システムに付属の入力メソッドは機能が少ないですが、より安全です。
一般的に、ユーザーは、チェーン上で取引する際、特に DeFi アプリケーションや取引ツールを使用する場合、追加のセキュリティ予防措置を講じる必要があります。イーサリアムのメカニズムでは、ユーザーがスマート コントラクトにトークンの認可を付与する必要があるためです。攻撃者はこの承認メカニズムを使用して悪意のある操作を実行する可能性があるため、リスクを軽減するために、ユーザーは常にウォレットの承認リストを確認し、不要になった承認、特に忘れられた可能性のある承認を速やかに取り消す必要があります。
さらに、ユーザーがDeFiプラットフォームを選択する場合、完全な監査レポートがあるかどうか、継続的な自動セキュリティ監視があるかどうか、プラットフォームが定期的にアップグレードされ脆弱性が修正されているかどうかなど、プラットフォームのセキュリティ対策を検討する必要があります。また、トレーディングボットを使用する場合、ユーザーは資産を分散管理し、利益を得た後はできるだけ早く安全なウォレットに資金を移し、資金を減らすことをお勧めします。損失が発生する可能性があります。
恵朔兄弟は、トレーダーとして、取引ツールやプラットフォームの仕組みをよく理解することが重要であると述べ、現在の取引環境では、多くの人が急騰や急落の興奮にのみ注目し、取引ツールの安全上の危険性を無視していると語った。ユーザーはいつでもリスクを制御するために、プールの空化や清算の警告などの安全アラートを設定する必要があります。
ヴェロニカ氏は、シンプルだが重要な原則を強調した。利益の効率的な追求と包括的な安全性の間には常に妥協が必要であるため、最も重要なアドバイスは、過剰な投資ポジションのために眠れないと感じた場合、多くの場合、期限が切れて眠れなくなることである。携帯電話を確認してください。資本配分がリスク許容度を超えている可能性があります。
実用的なオンチェーン セキュリティ クエリ ツールにはどのようなものがありますか?
ベロニカは、定期的に認可をチェックする機能など、SafePal などの非保管ウォレットの組み込みセキュリティ ツールを使用することをユーザーに推奨しています。ユーザーは複数のチェーン上のすべての認可記録をスキャンし、ワンクリックで不要な認可を取り消すことができ、ハッキングの被害を減らすことができます。 . 搾取のリスク。
画像出典:SafePal「承認マネージャー」機能
さらに、詐欺師は少額の送金を使用してユーザーの送金アドレスを偽装し、資金を騙し取ることがよくあります。現在、OKX Web3 Wallet や SafePal などの主流のウォレットには、「ヘッドツーテール攻撃」のための危険なトランザクション傍受サービスが追加されています。同時に、ハードウェア ウォレット + パスフレーズ (パスフレーズ) もあまり知られていない機能ですが、非常に実用的であり、特に複数の通貨取引アカウントを持つユーザーに適しています。
13 番目の単語として、パスフレーズが元の 12 個のニーモニック ワードと結合されて新しいウォレット アドレスが生成されます。たとえ誰かがニーモニック ワードを取得したとしても、パスフレーズがなければ資産にアクセスすることはできません。つまり、ユーザーはこれを使用して複数のウォレット アカウントを作成できます。安全を確保するために。
この方法により、秘密キーのセキュリティが強化されるだけでなく、ユーザーは複数のアカウントにまたがる資産を柔軟に管理できるようになり、パスフレーズはユーザーの頭の中にしか存在しないため、セキュリティがさらに向上します。
アンディ氏はまた、ユーザーがセキュリティインシデントに遭遇する場合、多くの場合、プロジェクト自体のリスクに加えて、たとえユーザーが大量の暗号資産を保有している、または知っていると認識している場合でも、それはユーザー自身の不十分なセキュリティ習慣に関連している可能性があることも強調しました。投資取引にはリスクがあると彼は言いましたが、それでも資産は悪い習慣によって危険にさらされることがよくあります。
ユーザーは、資金の直接送金ではなく対話のみに使用されるコールド ウォレットに大量の資産を保管するなど、独立したセキュリティ意識と習慣を維持することをお勧めします。暗号化された資産を管理し、それのみを使用します。 暗号通貨取引または秘密キー管理を行うために、このデバイスに他の非取引関連ソフトウェアをインストールしたり、その他のアクティビティを実行したりしないでください。これにより、秘密キー漏洩のリスクが大幅に軽減されます。 。
結論
DEXX のセキュリティ インシデントは、オンチェーン取引ツールの分野における核心的なジレンマを明らかにしました。それは、利便性とセキュリティのバランスをどうやって見つけるかということです。
効率的なトランザクションとユーザー エクスペリエンスを追求する一方で、秘密キーの集中保管やメモリ レベルの保護の欠如など、プラットフォームのセキュリティ設計が犠牲になることはできません。技術的な欠陥によってユーザー資産が高いリスクにさらされることになります。
「高いリターンと絶対的な安全性の間には常に妥協が必要です。」 投資家にとって、取引ツールの背後にあるリスクロジックを理解し、適切なセキュリティ習慣を身に付けることが、この分散化されたエコシステムの中で「暗い森」を横断するための基礎となります。不確実性に満ちていますが、自分の秘密鍵を管理することによってのみ、資産を真に管理し、チェーンエコシステム全体のより健全な発展を促進することができます。
